□刘长秋 史晓芳

当今时代是一个个人信息极易被泄露和滥用的时代，个人信息泄露已经给当代人带来了越来越多的负面影响，极大地影响了人们的正常生活，垃圾短信、骚扰电话、无聊邮件、诈骗飞信……很多人几乎每天都在受类似这些问题的困扰，不胜其烦。如何保障公民个人信息安全，防范个人信息泄露，已成为人们普遍关注的一个焦点问题。本文拟从分析当前我国公民信息保护面临的法律挑战入手，对我国公民个人信息保护法的完善作一分析。

一、我国公民信息保护面临的挑战分析

当前，随着我国公民在日常生活中使用个人信息的次数越来越多，个人信息遭受泄露的可能性也越来越大。公民信息的泄露，不仅严重侵犯和干扰了公民的个人隐私及公民个人正常生活，更为不法分子提供了作案工具和土壤，危及到公民的人身和财产安全……据2013年8月14日《新闻晨报》报道：上海发生的冒充老师或医生诈骗案件中，共涉及上海16万条学生及家长信息泄露，其他各省市个人信息500余万条遭泄露。在查获的犯罪嫌疑人电脑内，个人信息包含学生姓名、家长电话、老师姓名和学生所在学校及班级信息等。如此准确详细的信息给犯罪分子可乘之机，仅上海市在2013年3、4两个月份就发生此类诈骗案件40余起，涉案金额60余万元。①王亦菲、赵雪芬：《沪16万条学生及家长信息泄露》，《新闻晨报》2013年8月14日。上海各中、小学校还因此集中大规模发放《防止电话诈骗告知书》给家长过目并确认知悉。个人信息的频繁泄露以及由此而招致的违法犯罪现象，已经成为我国公民个人信息保护工作面临的突出挑战。

就公民个人信息泄露的原因而言，在目前信息网络技术发展已经使网络成为当代人，尤其是当代都市人生活无法割舍之一部分的情况下，网络黑客盗取个人信息成为造成公民个人信息泄露的一个重要原因。2011年底，中国互联网史上由“黑客”导演的规模最大的“泄密门”事件，就将个人信息保护推向了风口浪尖。除此之外，公民在与一些特定行业打交道过程中都可能会面临个人信息遭到泄露的情况，如房产中介、工商、医疗、民政、银行、民航、电信等都是个人信息泄露的“源头”和“重灾区”。而随着网络快递业的发展，一些网购商家开始利用快递公司出售的会员信息进行“刷钻”（即刷信誉）欺骗消费者；被泄露的个人信息甚至被用于制造“假包裹”进行诈骗等违法行为。②参见张波、孙玉春、刘元媛：《多家快递公司单号遭贩卖》，《现代快报》2012年11月8日。这些事件使快递行业马上成为公民个人信息泄露的另一“重灾区”，引起了人们的高度关注。伴随公民个人信息泄漏危害的不断升级，维护公民个人信息安全问题已经成为我国不可回避、亟待解决的大事，而如何从法律层面上加强保护我国公民信息安全，是保障公民个人生活安宁以及社会安全的一项重要课题。

二、当前我国法律对公民个人信息保护的缺陷分析

在我国，公民个人信息频繁遭遇泄露的原因是多方面的，其中，既有公民个人自我保护意识不强方面的因素，也有个别机构与个人非法采集公民个人信息方面的因素；既有行业道德建设方面的原因，也有国家政策法规方面的原因。而在依法治国已经成为当代社会主旋律的宏观背景下，法律方面的原因则是其中最不容忽视的一个原因。

（一）我国公民个人信息的法律保护模式

对于我国公民个人信息保护，我国立法一直缺乏系统的规定，而且立法保护的层次较低。具体而言，主要有三种保护方式：1.宪法与行政法保护。如《宪法》第38条、第40条以保障公民人格尊严与通信自由和通信秘密的方式，间接承认和规定了对公民个人信息的保护。①我国宪法第38条规定：“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”第40条规定：“中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”而《中华人民共和国居民身份证法》第19条和第20条则规定了国家机关或者金融、电信、交通、教育、医疗等单位或其工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的信息、警察非法更改或泄露公民个人信息的情况，根据情节轻重，依法承担民事责任或追究刑事责任，也在防范公民个人信息泄露和保护公民个人信息安全方面发挥了重要作用。据统计，我国目前有近40部法律、30余部法规，以及近200部规章涉及个人信息保护，其中包括规范互联网信息规定，医疗信息规定，个人信用管理办法等。这些保护绝大多数都归属于宪法、行政法保护。2.民法保护。《侵权责任法》中明确将公民隐私权作为法律保护的一项基本权利，这实际上为公民个人信息的民法保护提供了明确法律依据。而2013年新修改的《消费者权益保护法》也对消费者个人信息保护问题作出了明文规定。3.刑法保护。我国2009年通过的《刑法修正案（七）》确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名，首次将公民个人信息纳入刑法保护范畴，规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。

（二）现行法律对公民个人信息保护的缺陷

总体而言，我国有关公民个人信息保护的立法规定都比较笼统、零散，而且立法层级偏低，基本上以行政法规和部委规章为主，难以形成严密的保护个人信息的法律网。而且，目前我国还没有旨在保护公民个人信息的专项法律，现行公民个人信息保护的相关法律制度，基本上都只是“间接”保护，缺乏明确的法律依据。由于我国迄今还没有制定任何一部专门针对公民隐私权保护或个人信息安全维护的法律，我国在个人信息处理上应遵循哪些原则、信息主体在个人信息处理活动中享有哪些权利与义务、对滥用个人信息者如何制裁以及由什么机构给予制裁等方面都还处于无法可依的状态。这不仅难以给维护和保障公民个人信息安全的工作提供应有的指导，也使公民个人的隐私权难以得到真正的实现。

不仅如此，目前我国防范个人信息买卖的法律制度中，无论是最具强制力的刑法，还是一般相关的行政法规或规章，其防范和惩治的重点都是出售和提供个人信息的行为，亦即刑法第253条规定的“出售或者非法提供给他人”的行为，而相对比较忽视对购买公民个人信息行为的法律应对。实际上，按照市场交易的基本规律，需求是产生和导致交易的本源，没有基于需求而产生的购买，就不可能出现为了金钱而进行的出卖。就此而言，基于需求而产生的购买才是导致个人信息被买卖和滥用的根源，才是危害公民个人信息安全的罪魁祸首。以此为基点，购买公民个人信息的行为，更应当受到法律的惩治，否则，个人信息买卖现象就不可能在我国得到根治。现行立法在这一点的处理上显然有失妥当，成为诱发个人信息买卖的一个制度根源。②参见刘长秋：《法律该如何应对个人信息买卖》，《东方早报》2012年12月16日。

值得指出的是，我国在2012年4月编制完成了《信息安全技术公共及商用服务信息系统个人信息保护指南》 （以下简称《指南》）。作为我国个人信息保护领域的首个国家标准，该《指南》将个人信息分为个人一般信息和个人敏感信息，并提出了默许同意和明示同意的概念。对于个人敏感信息，需要建立在明示同意的基础上，在收集和利用之前，必须获得个人信息主体明确的授权。这实际上是国家给我国公民提供的一层旨在保障其个人信息安全的“防护甲”。《指南》的出台，可以进一步促进公民对个人信息保护的自觉，增进共识，为个人信息保护立法积累经验，可以在一定程度上规范个人信息的处理行为，构建政府引导下的行业自律机制和模式。其实施可以进一步促进公民对个人信息保护的自觉，增进共识，为个人信息保护立法积累经验，可以在一定程度上规范个人信息的处理行为，构建政府引导下的行业自律机制和模式。

然而，另一方面，对于《指南》所能够实际发挥的作用，我们也需要保持足够清醒的认识，不能对《指南》寄予过高期望。因为《指南》作为一项由全国信息安全标准化技术委员会提出并归口组织，且由中国软件测评中心等30多家单位参与编制的国家标准，只是一种“软法”，充其量只能充当防护个人信息安全的一件“防护甲”。如果我们把侵犯个人信息安全的行为比喻为一件利器，则作为个人信息保护国家标准的《指南》就是国家为公民提供的一件“防护甲”。从技术上来说，“防护甲”的确有防范利器之攻击以保护人的作用，但个人能否真正得到“防护甲”的保护却不是“防护甲”仅依靠自身就能左右和控制的。因为“防护甲”是否能真正起到防护作用，还要看利器攻击的时机、个人的自我防范意识、“防护甲”的大小与坚固程度以及个人除了穿“防护甲”之外是否还拿着“盾”等在内的各种因素。

基于此，我们必须理性地看待《指南》的发布与实施，客观而全面地评价其在维护个人信息安全方面所能够起到的实际作用，在依《指南》做好个人信息保护工作的同时，尽早出台真正具有法律效力的个人信息保护法，使《指南》这一软法能够在国家法的配合之下更有效地发挥作用。

三、国外公民个人信息保护的法律经验

个人信息安全问题并非当代中国所独有的一个问题，实际上，在各个国家，这一问题都是一个相对棘手的现实问题，而各国也几乎都在谋求从法律层面上来防范和解决这一问题。早在上个世纪60年代，很多国家就因为现代信息技术的无限扩张，开始根据本国国情和具体需求开展了对公民隐私的研究调查和立法保护工作，并已经形成了较为系统化的公民信息安全保护体系。目前，已有50多个国家和地区制定了个人信息保护的相关法律、法规标准。

欧盟对个人信息保护采取统一立法模式，专门出台了《个人数据保护指令》 （以下简称《指令》）。该《指令》确定了处理个人信息的“全流程保护”规范，即从个人信息的采集，到信息的使用和交流，一直到信息的销毁，整个信息的全流程、全周期都有很明确的行为规范要求。《指令》要求设立独立的权威的信息专员；明确了一系列个人信息保护的原则；建立了信息处理的许可或登记制度；建立了一套发挥行政执法长处的监督和检查制度；个人信息主体的参与；以及相应的法律责任的追究制度。在事前、事中、事后都有相应的法律法规的监督、检查、追究和救济渠道。

美国是互联网技术和电子商务最发达的国家之一，其对公民个人信息的保护也因此而极为关注和重视。美国国会在1973年就通过了《隐私法》，这是美国对于公民信息保护最为重要的一部法案。之后，美国又相继推出了《信息保护和安全法》、《防止身份盗用法》、《网上隐私保护法》、《消费者隐私保护法》等法律。1997年以后，美国出台了《全球电子商务框架报告》和《儿童网上隐私保护法》，开始着重强调对网民隐私保护、要求网络服务业者必须要告知其隐私权政策，并且规定收集13岁以下儿童的信息前，必须首先获得家长的同意。

加拿大在1983相继实施了《信息获取法》、《隐私权法》与《信息获取法》，明确对加拿大150个联邦政府部门以及中介机构收集、利用、公布个人信息的行为作出限制。这些法律规定：非属当前任务所必需，政府机构不得采集个人信息；除个别情况外，应向信息关系人直接采集，并同时向其通报采集信息的目的；个人信息只可用于既定目的并只许在限定条件下披露；政府机构必须为含有个人信息的数据库编制索引并至少每年修订一次。该索引介绍有哪些政府机构控制着哪些个人信息以及个人信息的使用目的，供公众查询。①杜玉芳：《加拿大政府信息公开与公民隐私权的保护》，《中央社会主义学院学报》，2011年第6期。

英国在1984年制定了《数据保护法》，不允许以欺骗手段从数据主体那里取得信息，搜集取得个人信息必须征得有关个人的同意。瑞典于1973年制定了《资料法》，该法规定建立瑞典资料监督局，未经该局批准，任何人不得非法持有他人的个人资料，并对有关资料的收集、利用和管理等方面进行了规范。而日本也制定了《个人信息保护法》，确立了基本保护方针、政策、责任和处罚。

除了制定专门保护公民个人信息的法律之外，很多国家也都动用了刑罚的力量，在刑法中对侵犯公民个人隐私或非法收集（包括购买）、传播公民个人信息的行为进行了刑罚规制。如《法国刑法典》就专门在“侵犯人格罪”中设置了包括“侵犯秘密罪”、“侵害信息处理或信息缩片产生的人之权利罪”以及“采用遗传基因进行人之特征或鉴别研究产生的人身侵害罪”①参见《法国新刑法典》，罗结珍译，北京：中国法制出版社，2003年版，第90-97页。等在内的多种旨在保护公民个人信息安全的犯罪。这对于全面保护公民个人信息安全无疑起到了重要作用。

四、完善我国公民个人信息保护法的对策建议

公民个人信息的受保护程度，直接影响和制约着一个国家法治的健全和社会文明发展的程度。为此，全国人大常委会委员长吴邦国在2013年年初“两会”上作全国人大常委会工作报告时指出，要“以法律形式保护公民个人及法人电子信息安全，确立网络身份管理制度，明确网络服务提供者的义务和责任，并赋予政府主管部门必要的监管手段”。这实际上为我国公民个人信息保护指明了立法的方向。基于此，笔者认为，保护公民个人信息除了依靠行业自律、增强公民自我保护意识和建构网络伦理等方式外，更需要从立法角度上考虑加强和完善公民个人信息保护方面的法制建设。

（一）尽快出台 《公民个人信息保护法》

有无专门的个人信息保护法，不仅直接体现着国家对于公民个人信息保护的重视程度，而且直接关涉着个人信息保护工作的成效。综观世界各国，凡是在那些公民个人信息保护工作做得较好的国家和地区，几乎都出台了专门的个人信息保护法，我国也应当借鉴其他国家和地区的先进立法经验，尽快出台一部《公民个人信息保护法》，对个人信息处理应遵循的原则、信息主体在个人信息处理活动中享有的权利、对滥用个人信息者的制裁等作出明确的规定，使公民个人信息安全的保障纳入法治化轨道。②参见刘长秋：《尽快出台个人信息保护法》，《社会科学报》2009年4月9日。

在公民个人信息保护的模式上，《公民个人信息保护法》可以考虑参照欧盟的个人信息保护立法模式，由国家专门机构统一规范个人信息的收集、处理、发布和利用。根据个人信息的泄漏环节情况，尤其是要着重加强规范公民个人信息泄露的主要“源头”（工商、医疗、民政、银行、民航、电信等一些部门和服务机构）。对这些部门和机构收集、加工、转移、使用、管理公民个人信息的行为均予以严格规范，落实工作责任，加强监管保护。对于非法泄露公民个人信息的，不仅要惩治个人，有关单位主管人员或者直接责任人员有过错的，也应要求其承担法律责任，特别是公务员参与信息倒卖从中牟利尤需严惩并细化相关条款定罪。③参见袁国礼：《公务员参与信息倒卖从中牟利》，《京华时报》2012年4月26日在依法治国的时代背景下，这显然是防范公民个人信息滥用所首先要做的一项基本工作。

（二）在相关立法中增加惩处 “购买个人信息”行为的法律条款

针对目前我国现有相关法律过于重视防范出卖而忽视购买个人信息之立法缺陷，应逐渐重视对购买和非法收集公民个人信息行为的惩处问题。在相关法律中明确规定非法购买公民个人信息所应承担的法律责任，使购买而不单是出卖公民个人信息的行为受到法律的处罚。为此，可考虑修改刑法的有关规定，将“购买或非法获取公民个人信息，情节严重”的行为也作为犯罪来处理，以借助刑法的威慑，从根源上打击非法买卖公民个人信息的行为。在其他相关法律、法规或规章（如《居民身份证法》等）中，也应相应地增加对购买公民个人信息行为的处罚及其力度，使出卖和购买个人信息的行为都受到法律的规制。这些都是切断公民个人信息买卖供需之源，防范并减少个人信息买卖的必要立法举措。④参见刘长秋：《法律该如何应对个人信息买卖》，《东方早报》2012年12月16日。

（三）充分利用好现有的立法资源

在当前我国公民个人信息保护领域尚未出台专门的法律，而出台这样一部法律尚需时日的宏观背景下，应当高度重视现有立法资源在保护公民个人信息安全方面的作用，即“应该有效地利用我国行政法和民法现有的救济机制，解决法律的执行问题”⑤周汉华：《中华人民共和国个人信息保护法（专家建议稿）及立法研究报告》，北京：法律出版社，2006年版，第53页。。为此，需要加强相关的司法解释，使现有相关的法律、法规或规章中的相关规定不会虚置而能够有效发挥其作用。此外，还应特别关注和重视“软法”在公民个人信息保护方面的地位和作用。在我国已经出台了《信息安全技术公共及商用服务信息系统个人信息保护指南》的情况下，发挥其在强化职业伦理建设和行业监管方面的独特作用，使各个相关行业充分认识到滥用公民个人信息的危害，自觉抵制买卖公民个人信息的行为。这些显然也都是保护我国公民个人信息安全的客观需要。